En France, la collecte de données personnelles telles que ces adresses mails est soumise à une inscription obligatoire à la CNIL.
La quoi?
La Commission Nationale de l’Informatique et des Libertés.
Viens par là, je vais te causer de ce que c’est et comment t’y déclarer.
EDIT : suite à la sortie du RGPD le 25 mai 2018, la réglementation a changé.
Plus besoin de t’inscrire à la CNIL !
Tu trouveras un article dédié au RGPD ici : CLIC
Les éléments contenus dans cet article sont strictement informatifs, ils ne se substituent à la réglementation en vigueur. Je ne pourrais pas être tenue responsable de l’utilisation de ses informations si elles s’avèrent inappropriées à ton cas.
La CNIL c’est quoi?
C’est une autorité qui veille à ce qu’internet ne piétine pas la vie privée des utilisateurs ainsi que les libertés individuelles ou encore les droits de l’Homme par exemple.
Lorsque tu vends ou communiques sur le net et que tu récoltes ne serait-ce que les adresses mails de tes clients ou prospects, tu es obligé(e) d’être déclaré(e) à la CNIL pour avoir le droit de conserver ces informations.
C’est gratuit et rapide, mais à faire absolument !
Qui doit le faire ?
Certains sites web sont dispensés de déclaration à la CNIL comme les blogs si ils se conforment à la dispense n°6 .
Les sites des associations « loi 1901 » qui exposent les données de leurs membres et leurs donateurs sont aussi dispensés de déclaration s’ils sont conformes à la dispense n° 8.
Les sites de vente en ligne (e-commerce à toi, pas sur les marketplace) dépendent en général « de la norme simplifiée n° 48 (clic) relative aux fichiers de clients et de prospects ». Clique pour découvrir si tu es concerné(e). Si c’est le cas, tu n’auras besoin de ne faire qu’une déclaration simplifiée.
Si tu utilises des données personnelles, donc si tu récoltes les adresses mails de tes clients, mais aussi toutes autres coordonnées, tu as des obligations de sécurité physique et virtuelle. Ton atelier doit être sécurisé, ton PC et le site contenant ces infos aussi. Si tu manques à cette obligation de sécurité, tu peux être sanctionné(e) de 5 ans d’emprisonnement et de 300 000 € d’amende (art. 226-17 du code pénal).
Tu n’as pas le droit de communiquer ces données personnelles à d’autres personnes que toi. Sauf aux éventuelles personnes de ton entreprise qui s’occupent de la communication ou aux institutions comme la police ou le fisc. La CNIL nous prévient que: « La communication d’informations à des personnes non-autorisées est punie de 5 ans d’emprisonnement et de 300 000 € d’amende. La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000 € d’amende (art. 226-22 du code pénal) »
Les données personnelles ont une date de péremption. Ouais, tu as bien lu. Tu dois indiquer combien de temps tu conserveras les données personnelles de tes clients et respecter ce délai.
Tu dois aussi indiquer pourquoi tu récoltes ces données (pour valider la commande, envoyer les colis etc), que tes clients peuvent les modifier quand ils veulent et que tu ne vends pas leurs informations à d’autres professionnels (sauf si tu le fais alors tu dois le préciser).
Tout ça, tu peux l’écrire dans les Conditions Générales de Ventes (CGV) dans un onglet « Utilisation de vos données personnelles » par exemple.
Encore une fois, « le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d’emprisonnement et de 300 000 € d’amende (art. 226-20 du code pénal) ». Et il rajoute « Le refus ou l’entrave au bon exercice des droits des personnes est puni de 1500 € par infraction constatée et 3 000 € en cas de récidive (art. 131-13 du code pénal-Décret n° 2005-1309 du 20 octobre 2005) ».
La CNIL rajoute que « Un fichier doit avoir un objectif précis. Les informations exploitées dans un fichier doivent être cohérentes par rapport à son objectif. Les informations ne peuvent pas être réutilisées de manière incompatible avec la finalité pour laquelle elles ont été collectées.Tout détournement de finalité est passible de 5 ans d’emprisonnement et de 300 000 € d’amende (art. 226.21 du code pénal) ».
Voici un lien direct vers une page de la CNIL qui regroupent toutes tes obligations : www.cnil.fr/fr/comprendre-vos-obligations
Comment te déclarer à la CNIL ?
Tu peux le faire par papier ou en ligne. Personnellement, je te conseille de le faire en ligne, c’est très rapide et simple (pour une fois) ! Tu as toutes les infos sur cette page : www.cnil.fr/vos-obligations/declarer-a-la-cnil/. Suis les instructions et en 5/10 min maximum, le tour sera joué
Ensuite, tu recevras par mail, une confirmation comme quoi tu as bien fais une demande d’autorisation. Et quelques jours plus tard, tu recevras ton numéro de déclarant que tu devras inscrire dans les mentions légales de ton site.
Normalement, tu n’es pas censé(e) collecter des informations personnelles tant que tu n’as pas ton numéro de déclarant. Mais bon, si tu n’étais pas au courant et que tu en as déjà, tu ne vas pas les supprimer pour les redemander après.
Les Cookies
Pas ceux qu’on mange non Les Cookies de ton site ou blog.
Un Cookie est un fichier texte qui est déposé dans ton ordinateur par les sites que tu visites sur le net.
Il est totalement inoffensif.
Ce fichier enregistre tes informations de navigations sur le net. C’est ce qui permet, par exemple, à ton client de retrouver son panier plein sur ton site quand il revient. C’est aussi ce qui enregistre tes recherches dans Google ou qui va permettre d’afficher que ce qui t’intéresse sur un site comme Youtube par exemple, etc etc.
Depuis peu, l’usage de Cookie est réglementé par la CNIL, il faut que tu installes un bandeau d’avertissement sur ton site ou blog pour informer ton visiteur que tu utilises des Cookies. Tu as toutes les infos ici : www.cnil.fr/fr/site-web-cookies-et-autres-traceurs
Vu le chemin que tu as parcouru jusqu’à présent, se serait bête que la CNIL te tombe dessus pour quelque chose dont tu ignorais peut-être l’existence. Alors surtout fait bien ta demande de numéro déclarant le plus vite possible
merciiiiii !!!!
Bonjour,
Encore un truc administratif de plus, la France est spécialiste dans le genre! mais bon.
Je ne vends que sur une plateforme de vente, je ne recontacte jamais mes clients, je ne communique pas leurs adresses à autrui, dois-je m’inscrire à la CNIL?
@zeyna : renseigne toi auprès de la CNIL, je voudrais pas dire de bétises car le fait que tu ne recontactes pas tes clients ne change rien, c’est le fait de posséder les données qui comptent.
Logiquement les marketplace ont du faire une declaration à la CNIL puisqu’elles enregistrent vos données perso, mais je sais pas si leur déclaration vous couvre ou pas.
Merci pour l info ?
Bonjour Madame la Pie,
Super blog, un grand coup de main pour ma petite entreprise !
Alors perso je ne vends qu’en boutique, j’ai une page fbk pour la promo, et je suis en train de préparer un sondage dans le but de développer ma gamme, et dans ce sondage j’invite les répondants à me laisser leur adresse mail. Je suppose que je suis concernée par cette déclaration à la CNIL?
@geraldine-g-des-bijoux : oui =) des que tu enregistres des données perso tu es concernée, que se soit virtuellement ou sur papier ou sur ton PC
Et coucou!!
Heu, comment te dire… Mais que ferais-je sans toi??
En effet, je récolte des mails pour ma newsletter, mes commandes, le suivi des commandes et l’enquête de satisfaction.
Et bien, je n’avais aucune notion qu’il fallait s’inscrire au CNIL! Je cours m’inscrire et remplir le formulaire 48!!
Merci de m’éviter bien des problèmes!
Bizzz
Comme dit Zeyna « encore de l’administratif » mais heureusement que tu es là pour nous informer de tout ça. Bon alors évidemment moi je viens enquiquiner mon monde parce que je suis française mais je réside en Belgique. Mon entreprise est en Belgique, je suis déclarée en belgique…mais la majorité de mes clients sont français, donc dois-je m’inscrire à la CNIL ? ou peut être trouver l’équivalent en Belgique ?
@les-bijoux-dallison : aucune idée dsl. Contacte la CNIL ils te diront ce qu’il en est
Merci Mélanie pour ce partage d’information très important !
Mon site est hébergé par une plateforme en ligne (WIX) et la collecte des données lors de commande ou d’abonnement newsletter se fait justement via la plateforme. Dois-je m’inscrire à la CNIL aussi ? Concernant les CGV sinon tout y est 😉
Merci encore car on serait vite perdu(e)s sans toi ! <3
@ilma : comme pour Zeyna e te dirais de demander à la CNIL car si Wix a surement fait une declaration pour conserver tes données perso et ceux de leurs autres utilisateurs, je ne sais pas si cette declaration te couvre.
Un grand merci! je me suis déclarée en début d’année et viens de créer mon site et ça euuuuuh j’avais zappé! vraiment super vos articles!!!
@les-bijoux-de-loiseau-seraphine merci =)
Bonjour ! Merci pour ton article, je m’étais déjà enregistrée à la CNIL, mais concernant les cookies, je suis un peu perdue…
Je passe par la plateforme wix aussi, et je ne sais pas s’ils utilisent des cookies ou non, et donc s’il faut que je mette un bandeau ou non. S’ils se servent de cookies, c’est eux qui doivent se charger de ça non ?
@justine : j’ai répondu à la même question à Ilma dans un commentaire plus récent. Demande à la CNIL car si Wix a surement fait une declaration pour conserver tes données perso et ceux de leurs autres utilisateurs, je ne sais pas si cette declaration te couvre pour tes clients.
Merci Mélanie
C’est fou….la liste s allonge encore. ..de tous ce que l on doit faire avant de pouvoir exercer une activité en France en tout légalité ! !!pas étonnant que certaines ne se déclare pas ….
Enfin il faut y passer autant avoir l esprit serin pour pouvoir créer en toute tranquillité ! !!
Heureusement que j’ai pris ton agenda il va me servir pour cette année a noter toutes c est démarche administrative j espere qu il me restera un peu de temps pour créer. ….lol
Heureusement que tu es la. …
Bise
Et coucou les filles!!
j’ai effectué la déclaration hier après-midi et j’ai déjà reçu le récépissé avec mon numéro de déclaration!! Et hop, un numéro de plus à insérer dans mes Mentions Légales!! Et pour une fois, c’est gratuit pour se mettre en conformité!
En tout cas, merci Mélanie, tu es notre Pie Sauveuse!!
Bizzzz 😉
@isa-manoleo-fantaisies : c’est avec plaisir 😉
Coucou Mélanie,
Super ton article ! Vraiment tu es notre petite marraine la bonne fée ou notre Jim-mini d’ Amour !! huhu
Trêve de plaisanterie sinon, j’ai voulu aller sur le lien du CNIL et là Firefox me dit que la connexion n’est pas sécurisée, du coup j’ai pas osé continuer !! Help me pleaaase !
Bises,
Pauline
@petite-cassiopeia :les rares fois où j’ai eu ce message c’est parce que mon antivirus était pas à jour ou parce que l’horloge du pc était mal reglé (du coup mon antivirus ne fonctionnait pas). En tout cas, j’ai pas eu de problème avec le site de la CNIL
C’est bizarre Petite Cassiopéa, je suis aussi sur Firefox et je n’ai pas eu ce message, j’ai fait ma déclaration, j’attends l’accusé de réception.
Encore un super article informatif et surtout des informations administratives synthétisées pour nous être plus compréhensibles, merci! 😉
(euh… si jamais prochainement tu veux nous éclairer sur cette histoire de Médiateur de Litiges e-commerce, ça nous fera le plus grand bien aussi! ^^)
@mika-les-glokdoll :kesako?
Merci pour cet article, j’ai veillé à me mettre en règle dès aujourd’hui avec la CNIL !
Est-ce le numéro de dossier qu’il faut ajouter à notre site, y a-t-il une formule toute faite pour cela ?
@isabelle :le numéro de déclarant que tu auras dans le courrier définitif.
Pour la formule tu peux écrire: Le blog/site est déclaré à la Commission Nationale de l’Informatique et des Libertés (CNIL) sous le numéro 4627294&3(1)
Personne d’autre que moi n’a eu de problèmes pour aller sur leur site ? Peu importe le navigateur j’ai un message me disant que ce site n’est pas sécurisé et qu’il y a une tentative de piratage de mes données personnelles . Du coup je bloque vraiment … ;(
J’ai eu le même message, @petite-cassiopeia, mais j’y suis allée quand même …
@isabelle ha oui ça t’as pas fouttu les chocottes ? …je me laisse le week-end pour voir ^^ suis frileuse sur ce genre de trucs huhu, mais bon ça me donne un peu de courage de savoir que tu as sauté le pas, lol
@petite-cassiopeia , j’ai régulièrement ce genre de messages me demandant mon autorisation pour continuer, y compris sur des sites officiels, et comme a priori il faut s’y inscrire sous peine d’être hors la loi … Quand je peux l’éviter, je n’y vais pas, mais là je ne voyais pas comment contourner le problème …
@melanie-jung : Depuis le 1er janvier 2016, tout les commerçants européens, en ligne ou non, tout secteurs confondus, ont l’obligation de proposer gratuitement à leurs clients un dispositif de médiation en cas de litige et doivent fournir les coordonnées de ce service dans les CGV (une personne mandaté, une plateforme en ligne agréée, etc).
Le gestionnaire de litige n’intervient qu’après la première prise de contact avec le site marchand et après donc une première proposition de négociation amiable. Mais si aucun accord n’a pas été trouvé, l’acheteur peut donc déposer une plainte de litige (un peu comme sur e-bay en fait, dont le litige était gérer par paypal).
(et cela n’a rien à voir avec l’obligation supplémentaire de proposer un formulaire de rétractation qui est indépendant du litige)
La FEVAD est leader dans le domaine de la médiation e-commerce mais il existe désormais des tas de possibilités sur le net dont les tarifs (pour le commerçant) et les conditions sont obscures. Ces organismes de gestion des litiges doivent être agréés, mais par qui et comment?
Mon hébergeur web m’a par exemple fournit les coordonnées de leur plateforme en ligne de gestion des litiges regroupant des organismes de service, mais je ne sais pas de qui je dépend, quelles sont les conditions, sont ils agréés et par qui!…
Voici un lien vers le site de la Fevad, bon point de départ regroupant les textes de loi: http://www.fevad.com/espace-consommateurs/le-mediateur-du-e-commerce-publie-son-rapport-d-activite-2014-2015
Voilà: si tu pouvais nous éclairer sur tout ça, faire ta petite enquête et nous expliquer le tout comme tu sais si bien le faire! 😉
Bon courage et merci encore pour ton blog fort utile pour nos petits cerveaux! ^^
@mika-les-glokdoll ; ouh la jamais entendus parler….tu es sûr que tu dois avoir un service de médiation extérieur? ça me semble bizarre c’t’histoire. Quand j’aurai un peu de temps j’essairais de me renseigner
J’ai fait la déclaration jeudi, je crois avoir bien rempli tout le dossier mais je n’ai eu aucune réponse de la CNIL, même pas l’accusé de réception. 🙁
@zeyna : il y a eu un bug, c’est sûr 😉
refais la demande, peut être que tu as mal renseignée ton adresse mail 🙂
Oui, merci Mélanie je vais la refaire dès demain.
Merci pour cet article car j’avais commencé à me renseigner dans le domaine de la prise et garde d’informations mais trouver toutes les informations est parfois très complexe. Grâce à toi, ça ne l’est plus. J’aurais quand même une question : quand tu parles de l’obligation que notre atelier et notre ordinateur doivent être sécurisés, quel niveau de sécurité nous est demandé? Une porte qui ferme à clé ou un système d’alarme? Un anti-virus et une protection de navigation ou un logiciel spécifique? Merci d’avance.
A y est j’ai fait ma déclaration à la CNIL et j’ai reçu mon récépissé.
Merci Mélanie.
Hello!
Moi aussi je viens de recevoir mon récépissé de déclaration CNIL.
Et hop: ajouté au CGV de mon site avec la petite barre d’acceptation des cookie qui va bien! 😉
J’ai trouvé ce document pour les détails techniques de sécurisation des données: http://www.eyrolles.com/Chapitres/9782708132351/chap8_laffaire.pdf
A la page 214, il est précisé que la CNIL ne peut pas statuer sur le type de sécurité à mettre en place car il y a des bases de données plus sensible que d’autres, présentant plus de risques d’être volées ou consultées.
Voici un extrait des points sur lesquels veiller :
Les mesures à mettre en place pour assurer la sécurité et la confidentialité
des données à caractère personnel peuvent porter sur :
• le contrôle de l’accès aux locaux hébergeant les données à caractère
personnel ;
• la catégorie de personnes habilitées à avoir accès à l’application et le
type d’accès (simple consultation par exemple) ;
• la sensibilisation des utilisateurs de l’application ;
• la mise en place de mots de passe et les types de mot de passe ;
• la mise en place de mesures de sauvegarde.
Donc vraisemblablement, dans notre cas, un mot de passe protégeant suffisamment l’accès à notre ordinateur, un antivirus et pare-feu et une porte fermant à clé pour notre atelier (ou une boîte fermant à clé si notre atelier se trouve dans notre maison)
C’est ce que j’en déduit. Dites-moi si vous cela vous porte à d’autres conclusions.
Bonjour
Donc si je ne vend que sur une plateforme de vente en ligne type ALM, (sans avoir de blog ou site perso) il serait nécessaire quand même de s’inscrire à la CNIL?
@helene : je ne sais pas, car tu as quand même accès au nom et à l’adresse de la personne. Il vaut mieux demander cette info à la CNIL
Merci Mélanie pour ta réponse. Je crois qu’effectivement il faut voir avec la CNIL.
En tout cas, tous les jours je me félicite d’avoir connaissance de ton blog.
merci bcp @helene =)
Merci pour cet article et tout ce que j’ai lu précédemment sans forcément laisser de commentaires.
J’ai une petite question, voilà je crée des bougies depuis plus d’un an 1/2, j’ai du arrêter, maintenant je reprend en voulant être plus dans la légalité.
J’aimerais avoir un numéro CNIL, mais hélas je coince un peu.
Je vend des bougies, donc je dois mettre Commerce – Marketing ? ou autres ? je suis un peu perdu sur ce point, je pense que c’est celui-ci mais je ne suis pas sur à 100% ! merci d’avance pour ta réponse
@madame-prune : tu suis la procédure rapide décrite ici ça suffit largement, pas besoin de te casser la tête, tu ne feras que de la detention d’informations =)
Vu que tu as bien potassé sur le sujet, j’ai une question (hehe) – si tu créé un blog et que plus tard tu le supprime, faut-il le déclarer à la CNIL ? Le blog est-il supprimé de leur « listing » ?
Merci !
@marketingcafeine : il n’y a pas de suppression tous simplement car ce que te donnes la CNIL c’est une autorisation d’exploiter ton fichier client sans risques juridiques, ils ne conservent pas tes fichiers clients =)
Petite question bête…
C’était peut être écrit et je suis passé au travers mais faut il être une entreprise pour s’inscrire à la cnil?
Merci les pies